跨域
当我们在做前后端分离项目的时候,Tomcat往往并不是将前端页面和后端程序统一部署的,一般我们会有一个单独的部署静态html的服务器,那么此时前端的服务器如果想要访问后端的服务器时候,浏览器默认是会拦截这个操作的,因为浏览器有一种叫做同源策略(Same origin policy)的安全机制。
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。
同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,浏览器会先发送OPTION请求进行预检查,判断服务器是否允许跨域,如果允许才发送真正的请求,否则抛出异常。
那么,我们总结一下什么叫做跨域?
- 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。
什么时候回产生跨域问题呢?
- 浏览器在解析执行一个网页时,如果页面中的js代码请求了另一个非同源的资源,则会产生跨越问题,而浏览器直接跳转另一个非同源的地址时不会有跨域问题
如何解决跨域问题呢?
既然禁止跨域问题时浏览器的行为,那么只需要设置浏览器运行解析跨域请求的数据即可,但是这个设置必须放在服务器端,由服务器端来判断对方是否可信任,在响应头中添加一个字段,告诉浏览器,某个服务器是可信的。
public class AServlet extends javax.servlet.http.HttpServlet {
protected void doPost(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws javax.servlet.ServletException, IOException {
}
protected void doGet(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws javax.servlet.ServletException, IOException {
//设置允许跨域,其中*表示允许所有地址访问
response.setHeader("Access-Control-Allow-Origin","*");
String s = "{"name":"jack"}";
response.getWriter().println(s);
}
}
还有一些其他的相关设置
//指定允许其他域名访问
'Access-Control-Allow-Origin:http://XXX.XXX.XXX'//一般用法(*,指定域,动态设置),注意*不允许携带认证头和cookies
//预检查间隔时间
'Access-Control-Max-Age: 1800'
//允许的请求类型
'Access-Control-Allow-Methods:GET,POST,PUT,POST'
//列出必须携带的字段
'Access-Control-Allow-Headers:x-requested-with,content-type'
状态保持问题和JWT
在传统项目中,我们把登录后的用户信息一般存放在cookie和session中,但这在前后端分离项目中出现了问题。sessionid是使用cookie存储在客户端的,而cookie遵守同源策略,只在同源的请求中有效。虽然我们可以在cookie中指定domain来解决,但是cookie必须针对性的设置作用域,这对于有多个不同域要共享cookie时,可操作性差,难以维护。
另外在分布式架构中,共享session和cookie也是一大问题,必须引入第三方来完成session的存储和共享(也可通过中间层做cookie转发如Nginx,Node.js),这也是传统单体服务无法支持分布式和集群的问题所在。
为了解决以上问题,我们需要一种新的状态保持方法:JWT(json WEB token)
JWT的工作流程
回顾,之所以使用session和cookie是因为HTTP的无状态性质,导致服务器无法识别多次请求是否来自同一个用户。
JWT可以对用户信息进行加密生成一个字符串,下发到客户端,客户端在后续请求中携带该字符串,服务器解析后取出用户信息,从而完成用户身份的识别,如下图:
简而言之,JWT就是一串加密后的字符串,长这个样子:
中间由“.”分割成三部分,
-
Header(头部)
Header 部分是一个 JSON 对象,描述 JWT 的元数据,例如签名算法等,像下面这样:{ "alg": "HS256", "typ": "JWT" }alg属性表示签名的算法,默认是 HMAC SHA256;
typ属性表示这个令牌(token)的类型统一写为JWT
最后使用base64URL算法转换为字符串;
-
Payload(负载)
Payload 部分也是一个 JSON 对象,用来存放真正需要传递的数据,JWT 规定了7个保留字段,如下:iss (issuer):签发人 exp (expiration time):过期时间 sub (subject):主题 aud (audience):受众 nbf (Not Before):生效时间 iat (Issued At):签发时间 jti (JWT ID):编号 -
Signature(签名)
部分是对前两部分的签名,防止数据篡改。签名时需要指定一个密钥(secret)。密钥只有服务器才知道,不能泄露给用户。然后使用 Header 里面指定的签名算法(默认是 HMAC SHA256)
JWT的优点和缺点?
优点:
-
满足REST Full的无状态要求(为了提高系统的扩展性,REST要求所有信息由请求端来提供,如此才使得JWT成为了分布式,集群构架的首选方式)
-
在分布式,集群系统,前后端分离中使身份验证变得非常简单
-
可用于其他数据交换
-
合理的使用可减少数据库查询次数
缺点:
-
对于同样的数据JWT整体大小超过cookie,这会增加网络开销
-
服务器每次解析JWT都需要再次执行对应的算法,这将增加系统开销
-
在传统单体服务,和WEBApp形式的前后端分离项目中使用JWT反而不如Session+cookie
简单的JWT案例
首先我们要导入几个jar包
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.algorithms.Algorithm;
import com.fasterxml.jackson.databind.util.TokenBuffer;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Date;
@WebServlet(name = "Servlet" ,urlPatterns = "/test")
public class Servlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String name = request.getParameter("name");
String pwd = request.getParameter("pwd");
response.setContentType("application/json;charset=utf-8");
if(name.equals("jeason") && pwd.equals("123") ){
//生成一个Token,返回给客户端
JWTCreator.Builder builder = JWT.create();
//指定算法,传入一个秘钥
Algorithm algorithm = Algorithm.HMAC256("2341234SKDJFALSJFLKAJSDKJ");
//支持链式调用
String Token = builder
.withSubject("test this jwt")//设置主题
.withExpiresAt(new Date(new Date().getTime() + (1000 * 60 * 30)))//设置时间
.withClaim("userID", "No.001")//负载数据(用户自定义)
.sign(algorithm);
System.out.println("Token is:"+ Token);
//将Token放入响应头
response.setHeader("Token",Token);
response.getWriter().println("登陆成功");
}else {
response.getWriter().println("登录失败");
}
}
}
这样,我们就简单的实现了,登录后由服务器给客户端发送一个标记信息的Token。
另外,我们还可以写一个简单的例子来检查收到的请求是否包含正确的Token:
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@WebServlet(name = "CheckServlet",urlPatterns = "/check")
public class CheckServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//取出Token
String token = request.getHeader("Token");
if(token != null){
//检查Token是否有效,主要看是否过期,以及是否被篡改
//指定算法,传入一个秘钥
Algorithm algorithm = Algorithm.HMAC256("2341234SKDJFALSJFLKAJSDKJ");
JWTVerifier verifier = JWT.require(algorithm).build();
try{
verifier.verify(token);
DecodedJWT decode = JWT.decode(token);
String userID = decode.getClaim("userID").asString();
System.out.println(userID);
response.getWriter().println("Token 验证成功!!");
}catch ( JWTVerificationException e ){
System.out.println("Token 过期或者被篡改!!");
response.getWriter().println("Token 过期或者被篡改!!");
}
}else{
System.out.println("NO token");
}
}
}